信頼関係を設定した際に、可能になる事は?

Anonymous
2024-09-18T04:25:11+00:00

全く別に運用されている2つのドメインを統合する事になりました。

Aドメインと、Bドメインが存在し、最終的にはAドメインに統合する予定ですが、経過措置として、BドメインがAドメインを信頼する設定をしようと考えています。

この状態で、Bドメインは、Aドメインのアカウントに対してアクセス権を設定できるようになると思いますが、以下の事は可能でしょうか?

1.Bドメイン側のグループに、Aドメインのアカウントを追加する。

2.Bドメイン側のグルーブに、Aドメインのグループを追加する。
ご助言頂きたく、お願い致します。

ビジネス向け Windows | Windows Server | ディレクトリ サービス | Active Directory

ロックされた質問。 この質問は、Microsoft サポート コミュニティから移行されました。 役に立つかどうかに投票することはできますが、コメントの追加、質問への返信やフォローはできません。 プライバシーを保護するために、移行された質問のユーザー プロファイルは匿名化されます。

0 件のコメント コメントはありません
{count} 件の投票
承認済みの回答
  1. Anonymous
    2024-09-18T06:38:45+00:00

    チャブーンです。

    #内容を修正しました...信頼する・されるの表現が逆だったようです

    この件ですが、まず前提条件として、セキュリティグループの「種類」に注意いただく必要があります。信頼先ドメインから「アクセス許可」をリソースに設定するにはグローバルグループが前提ですが、グループのメンバーを設定する場合はドメインローカルグループが対象です。グローバルグループは他ドメインをメンバーにすることはできません。

    Active Directory セキュリティ グループ | Microsoft Learn

    実際に検証して確認しました。

    一方向の信頼の場合、信頼される=出力方向の信頼がリソースドメイン、信頼する=入力方向の信頼がアカウントドメイン、という扱いです(信頼する=されるが逆になっていました)。この場合は、リソースドメインのリソースに対して、アカウントドメインのアカウントやグループをアクセス許可に設定できます。

    これの意味するところは、リソースドメイン側からアカウントドメインの「アカウントが見える」ようになるということかと思います。

    ですが、ここで注意点があります。ドメインローカルグループは、他ドメインのアカウントをメンバーにすることができます。ですが、対象はアカウントとグローバルグループ(ユニバーサルもできます)だけになります。他ドメインのドメインローカルグループはメンバーにすることはできません。アクセス許可に関しては、別ドメインのグローバルグループであれば設定することができます(ユニバーサルもできます)。ドメインローカルは設定できません。

    したがって結果論として、リソースドメインのドメインローカルグループに対して、アカウントドメインのアカウント・グローバルグループをメンバーにできます。

    なお、念のためですが、これはアカウントドメインの管理者アカウントがリソースドメインの管理者権限を自動的に持つ、という意味にはならないので、注意してください。リソースドメインの管理者アカウントが、自身のドメインローカル or ビルトイングループ (Administrators等) のメンバーにアカウントドメインの管理者アカウント or 管理者グループをメンバーとして追加すると、初めて可能になる動作、という理解です。

    1 人がこの回答が役に立ったと思いました。
    0 件のコメント コメントはありません

1 件の追加の回答

並べ替え方法: 最も役に立つ
  1. Anonymous
    2024-09-18T07:01:50+00:00

    この応答は自動的に翻訳されています。 その結果、文法上の誤りや奇妙な言い回しが生じる可能性があります。

    こんにちは、M.Uchiyamaさん、

    マイクロソフト コミュニティ フォーラムに投稿していただき、ありがとうございます。

    ご質問に関しては、次の2つのアクションポイントについて個別に説明できます。

    1. ドメイン A のアカウントをドメイン B 側のグループに追加します。

    回答: このアクションは直接実行可能ではありません。Windows Active Directory 環境では、通常の信頼関係は一方向または双方向ですが、これは、あるドメインのアカウントを別のドメインのグループに直接追加できるという意味ではありません。アカウントとグループは、それぞれのドメイン内のリソースであり、それぞれのドメイン コントローラー (DC) によって管理されます。したがって、ドメイン A のアカウントをドメイン B のグループに直接追加することはできません。

    ただし、次の方法を使用して、同様の機能を間接的に実現できます。

    グローバルグループの使用: ドメイン A にグローバルグループを作成し、ドメイン B のリソースにアクセスする必要があるドメイン A のアカウントをこのグループに追加します。次に、ドメイン A のグローバル グループに対応する汎用グループ (双方向の信頼が設定されている場合) または外部の信頼 (一方向の信頼の場合) をドメイン B に作成し、それに応じてアクセス権を設定します。ただし、これによりドメイン A のアカウントがドメイン B のグループに直接追加されるのではなく、グループ間のマッピングまたはポリシーによるアクセス制御が実装されることに注意してください。

    クロスドメイン信頼を使用したリソースアクセス: クロスドメイン信頼を設定すると、ドメイン B のユーザーは信頼関係を通じてドメイン A のリソースにアクセスできますが、ドメイン B のドメイン A アカウントの直接のメンバーシップは変更されません。

    1. A ドメインのセットを B ドメイン側のグループに追加します

    回答: 「A ドメインのセット」は、ドメインの B 側のグループに追加できる特定のエンティティではないため、このステートメントは少し混乱します。ただし、ドメインAのアカウントのグループ(グローバルグループなどの何らかの形式)が、アクセスを制御するためにドメインBのグループに何らかの形で関連付けられているか、マップされていると想定しています。

    前述のように、これは通常、ドメイン A にグローバル グループを作成し、ドメイン B (汎用または信頼の種類によって決定される) に対応するグループを作成し、信頼関係とポリシー設定を通じてアクセスを制御することによって行われます。これは、ドメイン A の "グループ" をドメイン B のグループに直接追加するのではなく、リソースへのアクセス制御は信頼関係とグループ ポリシーを通じて実現されます。

    よろしくお願いいたします

    ノイビ

    0 件のコメント コメントはありません